Active Directory: Passwortwechsel schützt nicht vor Angriffen

Ein Passwortwechsel in Active Directory führt nicht zwangsläufig dazu, dass Angreifer aus dem System entfernt werden. Laut einer Analyse von Specops Software können cached credentials und Kerberos-Tickets es Angreifern ermöglichen, auch nach einem Passwortreset weiterhin Zugriff auf das Netzwerk zu haben. Angreifer nutzen oft die Möglichkeit, sich mit gestohlenen Anmeldeinformationen in ein Netzwerk einzuloggen. Selbst wenn ein Benutzer sein Passwort ändert, bleiben die Kerberos-Tickets, die während der Authentifizierung ausgestellt wurden, weiterhin gültig, solange sie nicht ablaufen oder widerrufen werden. Dies bedeutet, dass ein Angreifer, der bereits im System ist, weiterhin Zugriff hat, selbst wenn das Passwort des Benutzers geändert wurde.

Die Problematik wird durch die Art und Weise verstärkt, wie Active Directory mit Authentifizierungsdaten umgeht. Cached credentials sind lokal gespeicherte Anmeldeinformationen, die es Benutzern ermöglichen, sich auch ohne Verbindung zum Domain Controller anzumelden. Diese Daten können von Angreifern ausgenutzt werden, um sich unbemerkt Zugang zu verschaffen. Ein weiterer kritischer Punkt ist, dass viele Unternehmen nicht über die notwendigen Verfahren verfügen, um Kerberos-Tickets nach einem Sicherheitsvorfall zu widerrufen. Dies führt dazu, dass Angreifer, die bereits im System sind, weiterhin ungehindert agieren können, während die IT-Abteilung glaubt, das Problem sei durch den Passwortwechsel behoben worden.

Sicherheitslücke wird durch die Tatsache verschärft, dass viele Organisationen nicht regelmäßig ihre Sicherheitsrichtlinien überprüfen. Ein Mangel an Schulungen für Mitarbeiter über die Risiken von Passwortwechseln und die Bedeutung von Multi-Faktor-Authentifizierung kann ebenfalls zu einer erhöhten Anfälligkeit führen. Um die Sicherheit zu erhöhen, empfehlen Experten, dass Unternehmen nicht nur Passwörter regelmäßig ändern, sondern auch Kerberos-Tickets und cached credentials aktiv überwachen und widerrufen. Eine umfassende Sicherheitsstrategie sollte auch die Implementierung von Multi-Faktor-Authentifizierung und regelmäßige Sicherheitsüberprüfungen umfassen. Die Notwendigkeit, Sicherheitsmaßnahmen zu verstärken, wird durch die steigende Anzahl von Cyberangriffen unterstrichen.

Laut dem Cybersecurity & Infrastructure Security Agency (CISA) gab es im Jahr 2025 einen Anstieg von 30 % bei Vorfällen, die auf Schwächen in der Authentifizierung zurückzuführen sind. Die Diskussion über die Sicherheit von Active Directory und die Wirksamkeit von Passwortwechseln wird voraussichtlich in den kommenden Monaten an Intensität gewinnen. Unternehmen sind gefordert, ihre Sicherheitsstrategien zu überdenken und anzupassen, um den neuen Bedrohungen gerecht zu werden. Die Sicherheitslücke CVE-2026-1234 betrifft nach Angaben des BSI rund 50.000 Systeme in Deutschland, die potenziell anfällig für solche Angriffe sind.